网站开发与开发百度统计流量研究院

• 概念

        发生在使用模板引擎解析用户提供的输入时。模板注入漏洞可能导致攻击者能够执行恶意代码或访问未授权的数据。

        模板引擎可以让（网站）程序实现界面与数据分离，业务代码与逻辑代码分离。即也拓宽了攻击面，注入到模板中的代码可能会引发RCE或XSS

• 常见模板与场景

        在python中，常见的模板引擎包括Jinja2、Django模板等。通常发生在未正确过滤或转义用户提供的输入时，使得攻击者能够在模板中插入恶意代码。

        攻击者可利用模板注入漏洞执行任意的python代码，包括读取敏感文件、执行系统命令、访问数据库等。通常会通过在用户输入中插入特定的模板语法来触发漏洞，eg.在Jinja2中使用{{...}}或{%...%}